Tutkijat löysivät bugin CS:GO:ssa, joka voisi sallia hakkerien kaapata tietokoneesi
Kun kyberhyökkäykset maailmanlaajuisesti lisääntyvät, voisi luulla, että yritykset kiinnittävät enemmän huomiota turvallisuusinfrastruktuuriinsa. Ilmeisesti näin ei ole Valve Corporationin kohdalla. Useat tietoturvatutkijat löysivät bugin Valven Counter-Strike: Global Offensive (CS:GO) -pelissä, joka voisi sallia pahantahtoisten tahojen ottaa käyttäjän tietokoneen hallintaansa. Yksi tutkijoista, joka ensimmäisenä löysi tämän bugin, raportoi siitä vuonna 2019, mutta Valve sivuutti raportin kunnes äskettäinen julkinen paheksunta herätti huomiota. Tässä artikkelissa tulemme puhumaan tämän turvallisuusbugin ympärillä vallitsevasta tilanteesta.
## Mikä on Counter-Strike: Global Offensive (CS:GO)?
Counter-Strike on moninpelaaja ensimmäisen persoonan ammuntapeli, jossa kaksi joukkuetta kilpailee toisiaan vastaan. Kumpikin joukkue koostuu viidestä pelaajasta, ja niiden on suoritettava tiettyjä tehtäviä voittaakseen. Toinen ryhmä toimii Terroristeina (Ts), jotka pyrkivät toteuttamaan terroriteon, kun taas toinen ryhmä on Vastaterroristeja (CTs). Kuten useimmissa ensimmäisen persoonan ammuntapeleissä, peli palkitsee pelaajia pelin sisäisellä valuutalla, jonka he voivat käyttää aseisiin ja muihin asioihin. Pelissä on erilaisia tiloja, joilla on erilaiset tavoitteet ja ominaisuudet.
Alun perin vuonna 2000 Windows-käyttöjärjestelmälle julkaistu Counter-Strike on kasvanut yhdeksi historian merkittävimmistä ensimmäisen persoonan ammuntapeleistä. Se on saatavilla macOS:lle, Windowsille, Linuxille, PS3:lle ja Xbox360:lle. Counter-Strike-sarjassa on neljä pääpeliä: Counter-Strike, Condition Zero, Source ja Global Offensive. Vaikka sarjasta on julkaistu spin-offeja, nämä neljä peliä ovat ne, joita useimmat ihmiset ovat pelanneet vuosien varrella.
Viimeisin julkaisu on Global Offensive, jonka Valve kehitti ja julkaisi 21. elokuuta 2012. Noin 11 miljoonaa ihmistä pelaa sitä kuukausittain Valven Steam -alustalla. Sen julkaisusta lähtien Counter-Strike on osallistunut useisiin kilpailullisiin turnauksiin, mukaan lukien Cyberathlete Professional League, World Cyber Games ja Electronic Sports World Cup. Valve isännöi arvostetuimman Counter-Strike-turnauksen ja kutsuu sitä ”Counter-Strike: Global Offensive Major Championshipsiksi”.
## Tutkijat löysivät bugin CS:GO:ssa
Valkohattu-hakkeriryhmä, joka tunnetaan nimellä The Secret Club, löysi uuden haavoittuvuuden Counter-Strike: Global Offensive -pelissä, joka antaa hakkerille mahdollisuuden ottaa tietokonejärjestelmäsi hallintaan, jos klikkaat kutsua pelata peliä Steamissa. Käyttämällä Steamin kutsujärjestelmää, hakkerit voivat käyttää hyväkseen bugia ja varastaa henkilökohtaisia tietoja keneltä tahansa, joka klikkaa kutsulinkkiä etäkoodin suorituksen (RCE) kautta. The Secret Clubin jäsen löysi bugin Sourcesta, 3D-pelimoottorista, jonka Valve kehitti. Useat pelit käyttävät Source-moottoria, mukaan lukien Counter-Strike: Global Offensive. Valitettavasti useimmissa Source-moottoria käyttävissä peleissä tätä bugia ei enää ole. Valitettavasti Counter-Strike: Global Offensive -pelaajat järkyttyvät tietäessään, että tämä bugi on yhä olemassa pelissä.
The Secret Club -nimisen ryhmän jäsen Florian (@floesen_ Twitterissä) raportoi alun perin bugin Valve-yhtiölle kaksi vuotta sitten (2019), mutta Valve-tiimi ei tehnyt mitään sen korjaamiseksi. Florian, opiskelijatutkija, selitti, että hän ilmaisi huolensa etäkoodin suorituskyvyn heikkoudesta Valvelle HackerOnen kautta. HackerOne on bugipalkkioalusta, jota hakkerit voivat käyttää ottaakseen yhteyttä yrityksiin kuten Valve, jos he löytävät bugeja tai haavoittuvuuksia.
Florian paljasti, että vaikka hän merkitsi bugin kriittiseksi, Valve-tiimi ei tehnyt mitään sen korjaamiseksi ja oli hidas vastaamaan keskusteluketjuihin bugista. On käsittämätöntä, että yritys, jolla on Valven resurssit ja vaikutusvalta, ei ota tietoturvaloukkausta vakavasti. Vaikuttaa siltä, että tämä on Valven trendi, sillä The Secret Club paljasti Twitterissä, että Valve teki samoin kahden muun haavoittuvuuden kanssa, joista tiimin jäsenet raportoivat.
## Valve maksaa palkkion, mutta kieltäytyy korjaamasta bugia
Ei ole enää uutinen, että Florian raportoi RCE-haavoittuvuudesta, eikä Valve korjannut sitä. Se, mikä on järkyttävää, on se, että Valve myönsi Florianin raportin noin kuusi kuukautta sitten ja maksoi palkkion, mutta ei silti korjannut haavoittuvuutta. Hän sanoi, että viimeksi hän kuuli Valvelta kuusi kuukautta sitten, kun he maksoivat hänelle palkkion HackerOne:n kautta. Valve jopa vakuutti hänelle työskentelevänsä haavoittuvuuden korjaamiseksi, sillä se oli aiemmin korjannut samankaltaisen ongelman pelissä, joka käyttää Source-moottoria.
Opiskelija-tutkija selitti, että hän vahvisti Valven todellakin korjanneen kyseisen pelin. Florian ei paljastanut, mitä peliä Valve korjasi, ja selitti miksi lausunnossaan. ”Me tarkoituksella emme maininneet sitä, koska emme halua ihmisten etsivän päivitystä pelin binääritiedostoista, sillä tämä vähentäisi suuresti ponnisteluja hyväksikäytön uudelleenrakentamiseksi kaikissa muissa paikkaamattomissa peleissä.” Me kuitenkaan emme ymmärrä, miksi Valve päätti jättää huomiotta CS:GO:n haavoittuvuuden noin kahden vuoden ajan.
Valven HackerOne-politiikan vuoksi, joka estää bug bounty -metsästäjiä raportoimasta hyväksikäytöistä, Florian ei ole julkaissut yksityiskohtaista raporttia bugista. Muut HackerOnen bug bounty -ohjelmat yleensä noudattavat politiikkaa, joka antaa tutkijoille luvan paljastaa haavoittuvuuksia, jos yritys ei korjaa niitä määrätyn ajan kuluessa (yleensä noin 90 tai 180 päivää). Valve ei sen sijaan noudata tällaista politiikkaa.
## Muut tutkijat vahvistavat, että Valve jätti huomiotta ilmoitukset bugista
Muut tutkijat ovat vahvistaneet, että CS:GO-bugi on olemassa, ja että Valve on jättänyt raportit siitä huomiotta. Carl Schou, The Secret Clubin johtava jäsen, selitti, että pahantahtoiset toimijat voisivat käyttää CS:GO-bugia varastaakseen arkaluonteisia tietoja, mukaan lukien taloudelliset tiedot ja muut tunnistetiedot. Ainakin kolme muuta tutkijaa väittää, että Valve on jättänyt heidän raporttinsa huomiotta. He ovat julkaisseet erilaisia videoita, jotka näyttävät, miten etäkoodin suoritusvirhe toimii, kun käyttäjä hyväksyy kutsun pahantahtoiselle yhteisöpalvelimelle.
Brymko (@brymko Twitterissä), Carl Smith (@cffsmith Twitterissä) ja Simon Scannell (scannell_simon) ovat kaikki julkaisseet YouTube-videoita, jotka esittelevät CS:GO RCE-haavoittuvuutta. Videodemonstraationsa julkaisun jälkeen Twitterissä toinen tutkija selitti, kuinka hän myös raportoi bugin, mutta Valve sivuutti hänen raporttinsa yli vuoden ajan. Bien Pham (@bienpnn Twitterissä), ohjelmistoinsinööri, sanoo raportoineensa bugin Valvelle 2. huhtikuuta 2020, ja yhtiö sivuutti sen.
## Valve Korjaa Vihdoin Bugin
17. huhtikuuta 2021 Florian (@floesen_ Twitterissä) julkaisi tämän Twitterissä: ”Hyviä uutisia! Valve korjasi äskettäisen hyväksikäyttöni ja antoi minulle luvan paljastaa yksityiskohdat. Sen sanottuani, työstän parhaillaan yksityiskohtaista teknistä selvitystä, jonka aion julkaista pian. Pysykää kuulolla!” Vaikka tämä onkin hienoa uutisia, Valven huolimattomuus osoittaa, ettei se välitä käyttäjiensä henkilökohtaisten tietojen suojelusta tai peliensä eheydestä.
The Secret Club on raportoinut Twitter-tilillään muutamasta muusta bugista, joita Valve ei ole korjannut. Niihin kuuluu yhteisöpalvelimen bugi Team Fortress 2:ssa ja kaksi muuta CS:GO RCE -bugia. Tarvitaanko toinen julkinen vastalause, ennen kuin Valve korjaa nämä bugit?
## Valven historia ohittaa bugeja
Elokuussa 2019, tietoturvatutkija Vasily Kravets julkaisi julkisesti nollapäivähaavoittuvuuden Valve:n Steam-alustassa sen jälkeen, kun Valve oli kieltänyt häntä osallistumasta sen HackerOne-virhepalkkio-ohjelmaan. Hän löysi virheen Steam-asiakasohjelmasta, jonka mikä tahansa pahantahtoinen taho voisi hyödyntää. Bugi oli oikeuksien korottamisen haavoittuvuus, joka voisi sallia pahantahtoisen toimijan suorittaa minkä tahansa ohjelman korkeimmilla mahdollisilla käyttöoikeuksilla Windows-järjestelmässä, johon Valve:n Steam oli asennettu.
Itse asiassa hän löysi useamman kuin yhden bugin ja meni julkisuuteen vasta toisen bugin löytämisen jälkeen. Ensimmäisen bugin löydettyään hän lähetti raportin HackerOnessa, jonka Valve hylkäsi, koska sen HackerOne-tiimi ei pitänyt bugia turvallisuusongelmana. Sitten hän löysi toisen bugin ja yritti raportoida siitä, mutta Valve esti hänet HackerOnen bugipalkkioalustalta.
Vasily Kravetin alkuperäisen löydön jälkeen 45 päivää, hän julkaisi raportin julkisesti, vaikka HackerOne kielsi häntä tekemästä niin. Kuitenkin hänen julkisen protestinsa jälkeen Valve korjasi etuoikeuksien eskalaatio -haavoittuvuuden. Valve myönsi tehneensä virheen luokitellessaan Kravetin alkuperäisen löydön soveltamisalan ulkopuolelle. Se myös päivitti vikailmoitusohjeitaan estääkseen tämän tyyppisen virheen toistumisen.
## Yhteenveto
Valven menneisyys ja nykyisyys ovat osoittaneet, että se ei juurikaan välitä varmistaa, että sen Steam-käyttäjillä on paras mahdollinen turvallisuus. Ottaen huomioon sen aiemmat toimet, saatat haluta harkita kahdesti, ennen kuin lähdet mukaan mihinkään sen tuotteisiin tai palveluihin. Onneksi Valve on korjannut CS:GO-bugin, joka mahdollisti pahantahtoisille toimijoille tietokonejärjestelmäsi kaappaamisen.